® REPUBLiQUE FRANQAISE © N° de publication : 



INSTITUT NATIONAL 
DE LA PROPRIETE INDUSTRIELLE 



PARIS 



(a n'utiliser que pour les 
commandesde reproduction) 

(21) N° d'enregistrement national 



2 786 973 
98 1 5377 



(51) Int CI 7 : H 04 N 7/10, H 04 N 7/167, H 04 L 9/14 



® 



DEMANDE DE BREVET D'INVENTION 



A1 



CO 

CO 
CO 

CM 



@ Date de depot : 04.12.98. 
(30) Pnorite r 


(71) Demandeur(s) 

— FR. 


: fNNOVATRON SA Societe anonyme 


@) Date de mise a la disposition du public de la 
demande : 09.06,00 Bulletin 00/23. 


(72) Inventeur(s) : 

ROLAND. 


GRIEU FRANCOIS et MORENO 


Liste des documents cites dans le rapport de 
recherche preliminaire : Se reporters la fin du 
present fascicule 






@) References a d'autres documents nationaux 
apparentes : 


@Titulaire(s): 






@Mandataire(s) : 

ET PARTNER. 


CABINET BARDEHLE PAG EN BERG 



SIGtttUX 
>IUH£BK1UES 



ULOTj 



CHIFFfrEKENT 
DES PACKETS 
tALGjj 



EWSSIQWi 



iiiri DE PAQUETS 



DISPOSITIF SECURITE DECODEUR D'INFORMATIONS CHIFFREES ET COMPRIMEES, NOTAMMENT 
D'INFORMATIONS VIDEO, AUDIO OU DE TEXTE. 

Un boitiercoopere avec un mlcrocircuit securise com- 
portant une memoire et un processeur proteges. Le dispo- 

sitif comporte: des moyens de reception de donnees , 

chiffrees et comprimees; des moyens de dechiffrement (r5; 
r3, r4) des donnees regues; des moyens de decompression 
(r2J des donnees dechiffrees; et des moyens de delivrance 
(r1), sous une forme decodee exploitable par un utilisateur, 
des donnees dechiffrees et decomprimees. Le mlcrocircuit 
securise (M; M') incorpore I'ensemble des moyens de de- 
chiffrement (r5; r3, r4) et au moins une partie des moyens 
de decompression (r2), le flux (§) de donnees dechiffrees et 
comprimees delivre par les moyens de dechiffrement aux 
moyens de decompression n'etant pas accessible depuis 
i'exterieur du microcircuit securise. Le microcircuit securise 
peut notamment etre celui d'une carte distmcte du boitier, la 
liaison entre microcircuit et boitieretant une liaison de type 
serie utilisant au moins run des contacts RFU seion ISO 
7816-2 pour delivrer le flux de donnees dechiffrees et par- 
iiellement ou totalement decompressees. 
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La presente invention concerne tes systemes de diffusion d'information 
dans lesquels I' information est acheminee d'un diffuseur a un utilisateur 
sous forme comprimee et chiffree, et dans lesquels ['utilisateur dispose 
d'un decodeur associe a un microcircuit electronique protege, par exem- 
5 pie une carte a microcircuit, qui constitue la ctef necessaire pour que le 
decodeur puisse restituer une information en clair. 

Les informations diffusees par de tels systemes peuvent etre variees, par 
exemple des signaux audio (musique) ou video (programmes de televi- 
sion), ou encore des donnees textuelles telles que des depeches d'agen- 
10 ce ou des informations financieres. 

Le but du chiffrement est de reserver I'acces en clair de ces informations 
a des personnes autorisees en contrepartie d'un paiement tel qu'un abon- 
nement ou un paiement £ la seance. 

Le microcircuit electronique permettant au decodeur d'assurer le dechif- 
15 frernent est en genera! protege contre la iecture de son contenu et contre 
la recopie, qu'il s'agisse d'une carte a microcircuit introduce dans un con- 
necteur du decodeur, ou d'un microcircuit interne au decodeur 
Ce degre de securite n'empeche cependant pas que les informations une 
fois decodees puissent etre copiees, permettant ainsi a i'utilisateur autori- 
20 se de faire partager la diffusion de I' information a d'autres personnes non 
autorisees, cest-a-dire sans souscription d'abonnement aupres du diffu- 
seur ou sans paiement en contrepartie de ia restitution en clair de refor- 
mation. 

II existe en effet de nombreuses attaques possibles des systemes exis- 
25 tants dans le but d'enregistrer I' information sous une forme exploitable. 
Ces attaques, qui sont bien connues sur les systemes de telediffusion 
cryptee, seront expiiciiees dans la description detaiilee qui suivra, 
Uun des buts de I' invention est d'empecher, dans la mesure du possible, 
que les informations une fois decodees puissent etre copiees, ou tout au 
30 moins de faire en sorte que cette copie s'accompagne d'une degradation 
notable de la qualite de I' information ou d'une augmentation considerable 
du volume des donnees empechant ou rendant difficile leur enregistre- 
ment. 

Essentiellement, I'invention propose a cet effet un dispositif decodeur d'in- 
35 formations chiffrees et comprimees, notamment d'informations video, au- 
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dio ou de texte, du type generique connu comprenant un boitier cooperant 
avec un microcircuit securise comportant une memoire et un processeur 
proteges a rencontre des tentatives d'analyse et de lecture et de recopie 
des informations conservees dans ce microcircuit, ce dispositif decodeur 
5 comportant : des moyens de reception en entree de donnees chiffrees et 
comprimees ; des moyens de dechiffrement des donnees ainsi recpues ; 
des moyens de decompression des donnees ainsi dechiffrees ; et des 
moyens de delivrance en sortie, sous une forme decodee exploitable par 
un utilisateur, des donnees dechiffrees et decomprimees. 

10 Seton l 1 invention, le microcircuit securise incorpore rensemble des 
moyens de dechiffrement et au moins une partie des moyens de decom- 
pression, le flux de donnees dechiffrees et comprimees delivre par les 
moyens de dechiffrement aux moyens de decompression n'etant pas ac- 
cessible depuis Pexterieur du microcircuit securise, 

15 Le microcircuit securise peut etre celui d'une carte a microcircuit distincte 
du boitier, ce dernier comportant des moyens de connexion permettant d'y 
coupler la carte a microcircuit, ou bien un microcircuit interne au boitier. 
Dans le cas d'une carte a microcircuit, la liaison entre le microcircuit et le 
boitier est avantageusement une liaison de type serie, tres avantageuse- 

20 ment une liaison telle que le flux de donnees dechiffrees et partiellement 
ou totalement decompressees est delivre par le microcircuit sur au moins 
I'un des contacts RFU selon ISO 7816-2. 
Selon d'autres caracteristiques subsidiaires avantageuses : 

- le boitier comporte une partie des moyens de decompression, cette 
25 partie incluant des circuits propres a detivrer les donnees decompri- 
mees en reponse a des commandes delivrees par le microcircuit secu- 
rise ; 

- le microcircuit securise inclut en outre une partie des moyens de deli- 
vrance en sortie des donnees sous une forme decodee exploitable, 

30 cette partie incluant notamment des moyens de traitement ou de fil- 
trage numeriques ; 

- les donnees re?ues en entree le sont sous forme de paquets accom- 
pagnes de donnees associees, et les moyens de dechiffrement ope- 
rant par mise en ceuvre d'un premier algorithme permettant le calcul 

35 de clefs de paquet a partir desdites informations associees, et d'un 
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deuxieme algorithme reconstituant un flux ^informations dechiffrees a 
partir des paquets et des clefs de paquet calcules par le premier algo- 
rithme ; 

- le dispositif comprend des moyens de paiement conditionnant la deli- 
vrance en sortie des donnees sous une forme decodee exploitable a la 
verification, par le microcircuit, de la realisation prealable d'un paye- 
ment en fonction d'informations tarifaires associees contenues dans 
une memoire, notamment d 1 informations tarifaires comportant une in- 
formation d 1 identification d'utilisateur contenue dans une mernoire du 
microcircuit securise ; 

- ie dispositif comprend des moyens d'enregistrement ou des moyens 
de couplage a des moyens d'enregistrement, pouvant en particulier 
enregistrer des donnees comprimees et chiffrees, 

0 

On va maintenant donner un exemple de mise en ceuvre de ('invention, en 
reference aux dessins annexes. 

La figure 1 est une illustration, sous forme de schema par blocs, de la 
chalne d'emission et de reception des informations, explicitant les diver- 
ses etapes de transformation des signaux. 

La figure 2 represente le decodeur de I'utilrsateur avec ses differents ele- 
ments associes. 

La figure 3 montre les differentes plages de contact normalisees d'une 
carte a microcircuit. 

0 

On va tout d'abord exposer en reference a la figure 1 la maniere dont 
fonctionnent les meilteurs systemes actuels (c'est-a-dire ceux procurant la 
securite la plus elevee a Pencontre des fraudes) de diffusion d'informa- 
tions cryptees, typiquement des signaux de television cryptes. 
On va tout d'abord decrire les etapes mises en osuvre cote emetteur : 
e1) On produit tout d'abord un flux de signaux numeriques, soit direc- 
tement soit par numerisation de signaux analogiques, donnant ain- 
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si un flux de donnees non comprimees <t> de grand debit, de I'ordre 
de 10 6 bps (bits par seconde) pour I'audio et 10 8 bps pour la video, 
e2) Le flux O est ensuite comprime selon una technique de compres- 
sion avec perte d'information, par exemple du type MPEG, pour 
5 donner un flux de moyen debit <J>, de I'ordre de 10 s bps pour I'audio 

et 3.10 s bps pour la video ; cette operation met en oeuvre des 
moyens techniques relativement evolues, c'est-a-dire necessitant 
une forte puissance de calcul, pour parvenir a une compression qui 
n'altere pas trop la qualite sonore ou visuelle du signal; 

10 e3) Ce flux comprime $ est ensuite decoupe en paquets, representant 
chacun par exemple 0,1 seconde de son ou d'image ; pour chaque 
paquet, on choisit une valeur numerique formant clef de paquet 
telle que la possession de la clef maitresse d'un premier algorithme 
cryptographique ALG1 soit necessaire pour calculer cette clef de 

15 paquet. A titre d f exemple, on associe a chaque paquet un indice 

incremental et la clef de paquet est obtenue en chiffrant I'indice 
avec la clef maitresse par un algorithme triple-DES. 
e4) Chaque paquet est ensuite chiffre avec un second algorithme cryp- 
tographique ALG2 utilisant comme clef la clef de paquet (on notera 

20 que ie flux de donnees pour le premier algorithme ALG1 est de 

I'ordre de 10 3 bps T tres inferieur au flux de donnees du second al- 
gorithme ALG2 3 qui est celui 4> a moyen debit des donnees com- 
primees). 

Le flux chiffre resultant de I'etape e4 est ensuite diffuse, accompagne d'in- 
25 formations complementaires necessaires au calcul des clefs de paquet, 
dans cet exemple les indices de paquet II peut s'agir d'une diffusion a 
sens unique, du type satellite, cederom ou DVD-ROM, ou a !a demande, 
telle qu'une diffusion par cable, via Internet, par le reseau telephonique 
commute ou RNIS. 

30 Bien entendu, cette diffusion s'accompagne de diverses operations de ve- 
rification de I'integrite de reformation transmise et de correction even- 
tuelles d'erreurs, qui ne sont pas concernees par (a presente invention. 
On notera que le terme ''diffusion" ne doit pas etre entendu au sens tech- 
nique strict (telediffusion ou radiodfffusion, par voie herizienne ou filaire) 

35 mais qu'il inciut egaiement, par exemple, la diffusion ^informations par 
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distribution de supports physiques tels que cederoms, DVDs T disquettes, 
eta, les enseignements de ['invention s'appfiquant aussi bien au dechif- 
frement et a la decompression d'informations lues sur un support physi- 
que de cette nature. 
5 On va maintenant decrire fes etapes mises en oeuvre du cote du recep- 
teur 

Le recepteur ou decodeur comporte un microcircuit electronique securise, 
c'est-a-dire protege contre Panalyse et la duplication de son contenu, et 
contenant la clef mattresse necessaire au dechiffrement. 
10 Les etapes successivement mises en oeuvre sont ies suivantes (on utilise- 
ra des references comprenant des indices homologues des etapes cor- 
respondantes mises en oeuvre a remission) : 

r3) Le microcircuit repoit les informations necessaires au calcul des 
clefs de paquet (dans le present exemple, les indices de paquet) et 
15 applique le premier algorithme cryptographique ALG1 ; il communi- 

que les clefs de paquet ainsi caiculees au reste du decodeur. 

r4) Le decodeur dechiffre ensuite les paquets en utilisant le second al- 
gorithme cryptographique ALG2 et la clef de paquet correspondant, 
produisant un flux de donnees $ identique a cefui resultant de I'eta- 
20 pe e2, c'est-a-dire des donnees comprimees de moyen debit. 

r2) Le decodeur decomprime ensuite ce flux de donnees <f>, operation 
qui necessite des moyens relativement limites par rapport a ceux 
mis en oeuvre a Tetape e2, donnant ainsi un flux de donnees de 
grand debit <D' comparable au flux <E> resultant de I'etape e1, mais 
25 non identique du fait des modifications liees au processus de com- 

pression/decompression, 

r1) Le decodeur convertit ce flux de donnees <£•' de rnaniere accessible 
aux sens humains, par exemple en commandant la vibration d'une 
membrane de haut-parleur ou la luminescence d'un tube cathodi- 
30 que ; typiquement cette etape r1 comporte tout d'abord une con- 

version numerique/analogique. 

On notera que le systeme ici decrit est un systeme numerique, ce qui 

permet une forte compression a I'etape e2. 

Le processus peut etre egalement transpose a un systeme analogique, 
35 par exemple pour les systemes de conception plus ancienne utilisant a 
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i'etape e2 un encodage analogique du type PAL, SECAM ou NTSC et 
pour e4 un chiffrement analogique du type permutation ou rotation de li- 
gnes ; le principe de fonctionnement est identique, quoique le flux resul- 
tant de I'etape r4 ne soit, dans ce cas, qu'approximativement identique au 
5 flux <j) resultant de i'etape e2. 

La technique que f'on vient d'exposer presente un certain nombre de 
points faibles qui la rendent vulnerable. 

Meme si Ton suppose que le microcircuit et le premier algorithme crypto- 
graphique ALG1 sont effectivement resistants, it reste diverses attaques 
10 possibles lorsque Ton souhaite enregistrer I' information sous une forme 
exploitable, a savoir : 

1°) Uattaque du second algorithme ALG2, c'est-a-dire la reconstitution 
de I'etape r4 sans disposer du flux de donnees resultant de Petape 
r3, par exemple en utitisant des redondances dans le flux de don- 
15 nees resultant normalement de r4 ; la conception du second algo- 

rithme s'efforce de rendre cette operation difficile, mais on ne peut 
excture une attaque reussie — impliquant de changer tous ies de- 
codeurs qui utilisent ce second algorithme ALG2. 
2°) L'enregistrement, d'une part, du flux d' informations cryptees tel que 
20 diffuse (en entree de r4) et, d'autre part (sur un decodeur equipe 

du microcircuit legitime), du flux des clefs de paquet, puis le deco- 
dage par un decodeur denue du microcircuit legitime et recevant 
ces deux flux dlnformations. Le volume de donnees represents par 
ies clefs de paquet etant tres faible, ces informations peuvent par 
25 exemple etre mises a disposition par radio ou sur Internet 

3°) L'enregistrement du flux d' informations dechiffrees resultant de 
I'etape r4 3 suivi de son exploitation ulterieure dans un dispositif ap- 
pliquant r2 et r1 . Cet enregistrement peut se faire ; 

sur un decodeur equipe du microcircuit legitime, en recuperant 
30 Ies informations transitant de Tetage realisant r4 vers celui rea- 

lisant r2 (les decodeurs les plus recents tentent d'eviter cette 
attaque en regroupant les etapes r4 et r2 dans un meme circuit, 
ou le flux en question est peu accessible), 
en reproduisant I'etape r4 dans un dispositif approprie, rece- 
35 vant d'une part [e ftux dlnformations cryptees tel que diffuse, 
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cTautre part le flux des clefs de paquet issues d'un microcircuit 
legitime, le dispositif reproduisant le dechiffrement par I'aigo- 
rithme rapide (cette attaque pouvant se combiner a la prece- 
dente). 

5 4°) L'enregistrement du flux d'informations resultant de I'etape r2. Mais 
le debit a ce stade etant efeve, en particulier pour la video, le frau- 
deur aura interet a recomprimer les donnees, c'est-a-dire appliquer 
une etape similaire a e2 ; on peut supposer que ta difficulty techni- 
que de I'operation, ainsi que la perte de qualite resultante (perte 
10 d'autant plus importante que les moyens utilises sont modestes) 

diminue I'attrait de la technique. 
5°) L'enregistrement des signaux sous une forme derivee de r2, par 
exemple une forme analogique intermediate utilisee dans r1 . La 
reduction de qualite est aiors nette ; de plus, on connait divers 
15 moyens analogiques empechant de faire une copie de qualite ac- 

ceptable avec un enregistreur video grand public, 
^invention s r efforce de remedier a ces inconvenients qui rendent le sys- 
teme vulnerable aux tentatives des fraudeurs. 

Elle consiste essentiellement a integrer dans le microcircuit de securite la 
20 totalite du dechiffrement (etapes r3 + r4 ci-dessus) et au moins la plus 
grande partie de la decompression (etape r2 ci-dessus), de sorte que le 
flux t|> (de moyen debit) de donnees dechiffrees et comprimees ainsi que 
le flux des clefs de paquet ne soient pas presents hors du microcircuit et 
ne soient done jamais accessibles. 
25 On a illustre sur la figure 1 en traits tiretes les limites du microcircuit secu- 
rise, dans les deux variantes M, ou ce microcircuit inclut !a totalite des 
etages de decompression de I'etape r2, et M\ ou il ne met en oeuvre 
qu'une partie de cette etape, 

Dans ces conditions, Tattaque n* 1 (exposee plus haut) est rendue plus 
30 difficile, car i'algorithme cryptograph ique peut rester secret De plus, si sa 
securite est compromise par un defaut de conception et qu'il doit etre 
remplace par un autre algorithme, il est possible de changer le seul mi- 
crocircuit si ce dernier est amovible, sans modification du decodeur lui- 
meme. Un avantage annexe est que Ton peut utiliser des algorithmes va- 
35 riant selon la zone de diffusion, voire faire evoluer Talgorithme de deconv 
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pression. Enfin, le boitier du decodeur seul (c'est-a-dire sans son micro- 
circuit securise) ne contenant aucun algorithnne cryptographique, n'est 
soumis a aucune reglernentation particufiere. 

Les attaques n° 2 et n c 3 pr6citees sont rendues impossibles, puisque les 
5 flux de donnees intermediates necessaires pour ces attaques restent in- 
ternes au microcircuit 

Le systeme que !'on vient de decrire peut se presenter sous une forme 
simplifiee, avec les deux algorithmes de chiffrement ALG1 et ALG2 re- 
groupes en un seul. 
10 Dans ces conditions, les etapes cote emetteur seront : 

e1) Production des signaux numeriques {sans changement), 
e2) Compression (sans changement), 

e5) Chiffrement du flux <J> des donnees par un procede cryptographique 
utilisant une clef maitresse. 
15 Cote recepieur, le decodeur comprend un microcircuit electronique secu- 
rise qui contient la clef maitresse, Les etapes mises en oeuvre sont : 
r5) Le microcircuit re$oit le flux de donnees resultant de e5 et le de- 
chiffre, reconstituant (en I'absence d'erreur de transmission) le flux 
de donnees (j> tel qu r il avant ete produit a i'etape e2, 
20 r2) Le rneme microcircuit (le fait qu f il s'agisse du meme microcircuit, et 
non d'un autre circuit du decodeur, est une caracteristique essen- 
tiefSe de I' invention) decomprime ce flux de donnees 4, produisant 
un flux de donnees comparable a celui © resultant de i'etape e1 
(les differences tenant au processus de compression/decompres- 
25 sion). Ce flux cp 1 est communique par le microcircuit au reste du de- 

codeur. 

r1) Conversion sous forme perceptible aux sens (sans changement), 
Comme illustre figure 2, (Invention peut etre mise en ceuvre par un boitier 
10 assurant I'interfasage entre, d'une part, des moyens 12 de reception 

30 hertzienne (typiquement une antenne ou un decodeur satellite), un reseau 
cable 14, un lecteur de DVD-ROM 16, etc. et, d'autre part, un recepteur 
de television 18 ou une chaine haute-fidelite 20. Le boitier peut compren- 
dre un rnecanisme de selection de programmes et/ou d'acheminement 
selectif d'un programme a la demande. 

35 Ce boitier coopere avec un microcircuit securise 22, par exempte le mi- 
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crocircuit d'une carte amovible 24 inseree dans une fente 26 du boitier 
10, I'ensemble boitier 10 + microcircuit 22 constituant le "decodeur" men- 
tionne plus haut. 

L'information selectionnee parvient, comprimee et chiffree, du boitier 10 
5 au microcircuit 22, et celui-ci — s'il contient la clef appropriee et even- 
tuellement si d'autres conditions sont remplies, par exemple le debit de 
points prepayes ou le teiepaiement d'un abonnement ou de Tacces a un 
programme — la dechiffre et la decomprime, sans que la forme dechiffree 
et comprimee ne soit accessible. Le flux decomprime est delivre par le 

10 microcircuit 22 au boitier 10 pour etre applique, apres les conversions 
appropriees au televiseur 18 ou Pamplificateur de la chalne 20. 
Ce principe de base peut recevoir plusieurs perfectionnements. 
Un premier perfectionnement vise a optimiser ia connexion du microcircuit 
au boitier, ainsi que la repartition entre microcircuit et boitier des ele- 

15 ments intervenant dans le processus de decompression r2 et de conver- 
sion r1. 

Tout d'abord, pour reduire au minimum le nombre de contacts, la liaison 
entre le microcircuit et le boitier est avantageusement de type serie. 
Pour les flux de donnees, en particulier le flux cp' de grand debit sortant 
20 de r2, on peut utifiser les contacts ''RFU' 1 ("reserve pour usage futur' 1 ) de 
la norme (SO 7816-2. 

La figure 3 montre la disposition des contacts d'une carte a microcircuit 
selon cette norme. 

On notera que les contacts de masse GND f d'alimentation VCC, d'horloge 
25 CLK, de remise a zero RST et d'entree/sortie I/O gardent ieurs fonctions 
habituelles, I/O servant pour les fonctions de supervision telles celles de 
f'etape r3 et/ou, par multiplexage, pour les flux de donnees plus lents, en 
particulier les flux entrant dans r5. 

La synchronisation de ces flux de donnees serie se fait par une boucle a 
30 verrouillage de phase integree au microcircuit, synchronisee sur un signal 
entrant dans le microcircuit tel que les donnees entrant dans r5 et/ou sur 
CLK. 

On prevoit dans le code de donnees sortant du microcircuit un code de 
detection d'erreur et une inhibition de la restitution sonore ou visuefle 
35 lorsque le boitier detecte une erreur dans ce flux, ceci pour prevenir des 
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bruits ou images indesirables, Jorsque le microcircuit presente un mauvais 
contact avec le boTtier. 

Par ailleurs, toujours dans ce perfectionnement visant a optimiser (a con- 
nexion du microcircuit au boitier, on peut deporter dans le bojtier les der- 
5 nieres etapes du processus de decompression r2, ceci afin de diminuer la 
complexity du microcircuit, en particulier ta quantite de memoire et ia 
puissance de traitement necessaires. 

Dans le cas de signaux audio, on sait que les procedes de decompres- 
sion comprennent dans la phase precedant la conversion numerique/ana- 

1 0 logique ia generation et la combinaison de divers signaux dont les carac- 
teristiques sont calculees par ailleurs, par exemple la generation et I'addi- 
tion numerique de signaux tels que sinusoide et/ou ondelette et/ou bruit 
dont la frequence et/ou ('amplitude et/ou le spectre et/ou I'enveloppe sont 
parametres. On peut aiors prevoir que fa commande (parametrage) de 

15 ces generateurs soit realisee par le microcircuit, mais que (a generation et 
ta combinaison proprement dites soient realisees dans le boitier, I'essen- 
tiel de la puissance de calcul etant ainsi deporte dans ce boTtier. 
En video, les procedes de decompression comprennent dans la phase 
finale de generation du signal decode la recopie d' informations provenant 

20 de lignes et trames d" images precedentes et/ou le remplissage de zones. 
On peut alors prevoir que le boitier stockera ces informations et realisera 
les copies et le remplissage, mais selon des pararnetres produits par le 
microcircuit. 

A contrario, si i'on dispose encore dans !e microcircuit d'une puissance de 
25 calcul suffisante, on peut integrer dans celui-ci non seulement la decom- 
pression r2, mais egalement !es premieres phases du processus de con- 
version r1, afin d'augmenter le debit binaire de reformation sortant du 
microcircuit et rendre son stockage plus difficile, ce qui permet de lutter 
plus efficacement, dans une certaine mesure, contre i'attaque n° 4 preci- 
30 tee. En particulier, pour de Taudio, on peut integrer dans le microcircuit le 
traitement numerique tel que la modification du nombre de bits de I'echan- 
tillonnage et/ou le filtrage numerique, permettant de diminuer la complexi- 
ty du filtre analogique place en aval du convertisseur numerjque/anaiogi- 
que du boTtier. 

35 Un deuxidme perfectionnement consiste a realiser chacune des etapes e5 
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et r5 en deux etapes respectives e3 + e4 et r3 + r4 mettant en jeu deux 
algorithmes distincts, ce qui est justifie cryptographiquement parlant, dans 
le but de realiser Toperation avec un bon compromis complexite/cout. 
Un troisidrne perfectionnement consiste a prevoir un mecanisme supple- 
5 mentaire destine a tarifer Tutilisation du systeme. 

On prevoit a cet effet dans ie microcircuit un moyen de conditionner la 
production des informations dechiffrees a la realisation preafable d'un 
payement, moyen operant en traitant fe contenu d'une memoire contenant 
les droits du possesseur du microcircuit. Cette memoire peut etre situee 
10 dans le microcircuit lui-merne, ou bien dans le boTtier, ou encore chez le 
diffuseur d'informations. 

Ces droits evoluent en fonction de I'usage qui est fait du systeme ; par 
exemple une zone de credit de cette memoire est debitee a la premiere 
diffusion de Pinformation, par exempie la premiere audition d'un morceau 

15 de musique, et Fidentifiant de ce morceau est stocke dans cette memoire, 
permettant a I'utilisateur qui souhaite reecouter ulterieurement le merne 
morceau de le faire sans debit ou a debit reduit Certaines operations 
sont inhibees lorsque ie credit tombe a zero. Des moyens de recharge- 
ment sont prevus par aitfeurs. 

20 Si elle est chez ie diffuseur, ia memoire peut etre subdivisee en zones 
correspondent chacune a un microcircuit donne, la zone adequate etant 
selectionnee a partir d'un identifiant du microcircuit contenu dans une 
memoire de celui-cL 

Outre I'enregistrement dans la memoire d'un identifiant du morceau, I'a- 
25 chat des droits peut etre materialise par le stockage dans la memoire du 
microcircuit de !a clef et/ou de I'aSgorithme de dechiffrement de ce mor- 
ceau ; cette mesure permet d'eviter d'avoir une clef et/ou un afgorithme 
universels valables pour tous les morceaux. 

On prevoira qu'aux donnees comprimees et chiffrees est ajoutee une in- 
30 formation d'identification/tarification exploitee par le microcircuit pour de- 
terminer quelle clef et/ou algorithme de dechiffrement et/ou quelle tarifi- 
cation est a appliquer au flux d'information chiffre. A une etape e6 (par 
exemple posterieure a e5), cette information d'identification/tarification est 
ajoutee au flux de donnees ; et a une etape r6 (par exempte prealable a 
35 r5), cet identifiant est extrait et exploite par le microcircuit pour determiner 
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quelle clef et/ou quel algorithme utiliser a Tetape 5 f et/ou quelle tarifica- 
tion appliquer (par exemple si !es droits de dechiffrement par le microcir- 
cuit sont acquis definitivement, ou font I'objet d f un payement a chaque 
utilisation, et a quel tarif). 
5 Pour proteger la partie tarification de cette information contre fes altera- 
tions intentionnelles, on peut utiliser une methode cryptographique, par 
exernple I'ajout d'une signature eiectronique des donnees incluant la tari- 
fication et verifiee par le microcircuit, ou en inserant cette information de 
tarification avant le chiffrement, de sorte que son alteration rapide rende 
10 inexploitable le reste des donnees. 

Un quatri£me perfectionnement consiste a associer un enregistreur au 
systeme de I'invention. 

A cet effet, le boitier 10 peut contenir un disposttif d'enregistrement de 
I'information (ou comprendre des moyens de connexion a un tel disposi- 
15 tif) t permettant une utilisation ulterieure sans qu'il soit necessaire d'ache- 
miner I'information par la voie de diffusion. 

L' information peut etre enregistree sous forme encore comprimee et chif- 
free ; elle sera dechiffree et decomprimee a la relecture, qui necessitera 
done la presence du microcircuit (cette prestation pouvant eventuellement 
20 etre accompagnee d'un paiement). L'enregistrement peut egalement avoir 
lieu de fagon concomitante a la premiere utilisation, 

Ces dispositifs d'enregistrement peuvent par exemple prendre la forme 
d'une memoire a semiconducteurs, d'un disque dur 28, d'une bande ma- 
gnetique 30 de type DAT, d'un disque 32 magneto-optique ou de type 

25 WORM optique ou DVD-RAM, etc., si Ton souhaite un enregistrement 
numerique direct. En variante ou en complement, le boTtier 10 peut ega- 
lement comporter des moyens de conversion numerique/analogique pour 
l'enregistrement et de conversion analogique/numerique pour la lecture 
dans le cas d'un enregistrement analogique, typiquement sur un magne- 

30 toscope VHS. 
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REVENDICATIONS 

1. Un dispositif decodeur d' informations chiffrees et comprimees, notam- 
ment d'informations video, audio ou de texte, du type comprenant un boi- 

5 tier (10) cooperant avec un microcircuit securise (22) comportant une 
memoire et un processeur proteges a I'encontre des tentatives d'analyse 
et de lecture et de recopie des informations conservees dans ce microcir- 
cuit, ce dispositif decodeur comportant : 

- des moyens de reception en entree de donnees chiffrees et compri- 
1 0 mees, 

- des moyens de dechiffrement (r5 ; r3 T r4) des donnees ainsi re?ues, 

- des moyens de decompression (r2) des donnees ainsi dechiffrees, et 

- des moyens de delivrance (r1) en sortie, sous une forme decodee ex- 
ploitable par un utilisateur, des donnees dechiffrees et decomprimees, 

15 dispositif caracterise en ce que le microcircuit securise incorpore I'en- 
semble des moyens de dechiffrement (r5 ; r3, r4) et au moins une partie 
des moyens de decompression (r2), le flux (§) de donnees dechiffrees et 
comprimees delivre par les moyens de dechiffrement aux moyens de de- 
compression n'etant pas accessible depuis Pexterieur du microcircuit se- 

20 curise. 

2. Le dispositif de la revendication 1 , dans lequel le microcircuit securise 
(22) est celui d'une carte a microcircuit (24) distincte du bottier, ce dernier 
comportant des moyens de connexion permettant d'y coupler la carte a 

25 microcircuit, 

3. Le dispositif de Tune des revendications 1 et 2, dans iequel le microcir- 
cuit securise est un microcircuit interne au bottier. 

30 4. Le dispositif de Tune des revendications 2 et 3, dans lequel la liaison 
entre le microcircuit et le boTtier est une liaison de type serie. 

5. Le dispositif de ia revendication 4, dans lequei le flux de donnees de- 
chiffrees et partiellement ou totalement decornpressees est delivre par le 
35 microcircuit sur au moins I'un des contacts RFU selon ISO 7816-2. 
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6. Le dispositif de Tune des revendications 1 a 5, dans lequel ie boitier 
comporte une partie des moyens de decompression (r2), cette partie in- 
cluant des circuits propres a delivrer les donnees decomprimees en res- 
ponse a des commandes delivrees par le microcircuit securise. 

5 

7. Le dispositif de Tune des revendications 1 a 6, dans lequel le microcir- 
cuit securise inclut en outre une partie des moyens de delivrance (M) en 
sortie des donnees sous une forme decodee exploitable, cette partie in- 
cluant notamment des moyens de traitement ou de filtrage numeriques. 

10 

8. Le dispositif de Tune des revendications 1 a 7, dans lequel les donnees 
repues en entree le sont sous forme de paquets accompagnes de don- 
nees associees, et les moyens de dechiffrement operent par mise en ceu- 
vre d'un premier algorithme (ALG1) permettant le calcul de clefs de pa- 

15 quet a partir desdites informations associees, et d'un deuxieme algo- 
rithme (ALG2) reconstituant un flux (4>) d' informations dechiffrees a partir 
des paquets et des clefs de paquet cafcuies par le premier algorithme. 

9. Le dispositif de Tune des revendications 1 a 8, comprenant des moyens 
20 de paiement conditionnant la delivrance en sortie des donnees sous une 

forme decodee exploitable a la verification, par le microcircuit, de ta reali- 
sation prealable d'un payement en fonction d'informations tarifaires asso- 
ciees contenues dans une memoire. 

25 10, Le dispositif de la revendication 9 ? dans lequel les informations tari- 
faires comportent une information d'identification d r utilisateur contenue 
dans une memoire du microcircuit securise. 

11. Le dispositif de Tune des revendications 1 a 10, comprenant des 
30 moyens d'enregistrement ou des moyens de couplage a des moyens d'en- 

registrement (38, 30, 32). 

12. Le dispositif de la revendication 1 1 , dans lequel ies donnees delivrees 
aux moyens d'enregistrement sont des donnees comprimees et chiffrees. 

35 
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